Il regolamento dell'Unione europea sul controllo delle chat - noto ufficialmente come Regolamento sugli abusi sessuali su minori (CSAR) - e diventato la proposta di sorveglianza piu contestata nella storia europea moderna. Dalla sua presentazione nel 2022 ha superato un'ondata di contestazioni legali, molteplici fallimenti al voto nel Consiglio UE e un fronte di opposizione unanime da parte di difensori della privacy, crittografi e delle stesse piattaforme di messaggistica che mira a regolamentare. Il nocciolo della controversia e semplice: il controllo delle chat obbligherebbe tutte le applicazioni di messaggistica operative nell'UE a scansionare automaticamente le comunicazioni private, comprese quelle protette dalla crittografia end-to-end.
Cos'e il controllo delle chat
Nel maggio 2022, la commissaria europea Ylva Johansson ha presentato una proposta che obbligherebbe le piattaforme di comunicazione a rilevare, segnalare e rimuovere materiale pedopornografico (CSAM) nei messaggi degli utenti. Il regolamento conferirebbe alle autorita nazionali il potere di emettere "ordini di rilevamento" a cui qualsiasi servizio di messaggistica dovrebbe conformarsi, indipendentemente dal proprio modello di crittografia.
L'obiettivo dichiarato e combattere gli abusi sui minori. L'implicazione tecnica e tutt'altra: per scansionare i messaggi crittografati, un servizio deve leggerli prima che vengano crittografati. Questo si chiama scansione lato client (CSS): l'app analizza il messaggio sul vostro dispositivo prima dell'invio e lo confronta con un database di contenuti vietati. Il risultato e una crittografia end-to-end che non e piu end-to-end.
Come la scansione lato client rompe la crittografia
La comunita tecnica e quasi unanime su questo punto. Un articolo del 2021, redatto da crittografi del MIT, Stanford e altre universita, ha descritto la scansione lato client come "una backdoor con un altro nome". Il problema non riguarda solo la privacy, ma la sicurezza. Qualsiasi sistema in grado di rilevare CSAM puo essere riconvertito per individuare discorsi politici, giornalismo o qualsiasi altro contenuto che un governo decida di aggiungere al database.
La presidente di Signal Meredith Whittaker ha avvertito che le richieste di scansione delle autorita britanniche seguono la stessa logica del controllo delle chat: una volta che l'infrastruttura esiste, nessuna implementazione tecnica puo limitare la scansione a una sola categoria di contenuti. Il database di cio che deve essere rilevato e controllato dall'autorita che emette l'ordine, non dalla piattaforma di messaggistica.
La National Crime Agency britannica e andata oltre, definendo pubblicamente la crittografia end-to-end una minaccia per la sicurezza dei minori - un discorso che i sostenitori del controllo delle chat hanno adottato a livello europeo. Il fondatore di Telegram Pavel Durov ha definito questo approccio una strategia deliberata per costruire consenso pubblico all'infrastruttura di sorveglianza con la copertura della protezione dei minori.
Cronologia: voti, veti e stalli
La proposta di controllo delle chat ha incontrato ripetuti rifiuti nel Consiglio UE, dove e necessaria una maggioranza qualificata degli Stati membri affinche la legislazione avanzi verso il trilogo con il Parlamento.
- 2022: La Commissione europea pubblica la proposta CSAR. Immediata reazione della societa civile e degli esperti tecnici.
- 2023: Il Parlamento europeo adotta la propria posizione, escludendo esplicitamente le comunicazioni crittografate end-to-end dall'ambito degli ordini di rilevamento.
- Giugno 2024: Il Belgio, alla presidenza del Consiglio, convoca un voto. Germania, Austria, Paesi Bassi e altri Stati votano contro. Nessuna maggioranza qualificata. Il voto fallisce.
- Fine 2024: La presidenza ungherese tenta una versione modificata. Stesso risultato.
- 2025: La presidenza polacca lascia la proposta in stallo. Nessun nuovo voto programmato.
Il divario tra la posizione del Parlamento (escludere E2E) e il testo originale della Commissione (scansionare tutto) non e mai stato colmato. Il fascicolo rimane formalmente aperto ma di fatto congelato.
Chi si oppone e perche
L'opposizione al controllo delle chat comprende una coalizione insolitamente ampia. La posizione della Germania e stata la piu coerente: il governo tedesco ha dichiarato esplicitamente che non avrebbe sostenuto alcuna normativa che richiedesse di violare la crittografia. Paesi Bassi, Austria, Estonia, Finlandia e Lussemburgo hanno espresso posizioni simili.
Le piattaforme di messaggistica coinvolte hanno adottato una linea piu dura rispetto alla maggior parte delle controversie normative. Signal ha dichiarato che avrebbe abbandonato l'UE piuttosto che implementare la scansione. Threema e ProtonMail hanno preso impegni analoghi. Apple, che nel 2021 aveva brevemente proposto il proprio sistema di scansione lato client per iCloud prima di ritirarlo sotto le critiche, si e opposta a un'implementazione obbligatoria nell'UE.
Il disegno di legge C-26 del Canada e la legge TOLA australiana seguono una logica parallela. Come mostra la nostra comparazione delle leggi sulle backdoor in Russia, Regno Unito, Canada e Australia, il discorso della "sicurezza dei minori" si ripete in diverse giurisdizioni mentre la sottostante infrastruttura di sorveglianza rimane identica.
Cosa succederebbe se la legge venisse approvata
Se il controllo delle chat diventasse legge in qualsiasi forma che includa servizi con crittografia E2E, le conseguenze pratiche sono prevedibili. Le app di messaggistica si troverebbero davanti a una scelta: implementare la scansione, abbandonare il mercato europeo o affrontare sanzioni. Per le piattaforme con un'ampia base di utenti nell'UE, l'uscita e economicamente dolorosa ma giuridicamente netta.
Per gli utenti che rimangono nell'UE, il risultato sarebbe la fine definitiva delle comunicazioni digitali private attraverso qualsiasi piattaforma conforme. Ogni messaggio passerebbe attraverso un filtro automatico prima della consegna. Il database del filtro sarebbe controllato dalle autorita dell'UE e aggiornato senza notifica o consenso degli utenti.
Gli effetti secondari includerebbero un'adozione accelerata di protocolli decentralizzati (Matrix, Nostr, Briar) piu difficili da costringere alla conformita, insieme a un probabile aumento dell'uso di VPN per accedere a piattaforme che hanno lasciato il mercato europeo. Sono gli stessi schemi visibili nei paesi con regimi di censura attivi - il controllo delle chat li applicherebbe semplicemente a un blocco democratico di 450 milioni di persone.
Cosa protegge davvero la privacy
Una VPN crittografa il traffico tra il dispositivo e il server VPN. Non protegge il contenuto dei messaggi dalla scansione lato client, poiche la scansione avviene sul dispositivo prima che il messaggio entri in qualsiasi rete. Contro il controllo delle chat, una VPN non e una contromisura tecnica, ma un modo per accedere a servizi che hanno lasciato l'UE, ammesso che rimangano raggiungibili tramite una connessione non conforme.
La categoria di strumenti piu rilevante e la scelta giurisdizionale: servizi con sede fuori dall'UE, operanti su infrastrutture fuori dall'UE, soggetti a procedure legali fuori dall'UE. I protocolli decentralizzati open source in cui nessuna singola entita puo ricevere un ordine di rilevamento rappresentano l'architettura piu resistente. La lezione del controllo delle chat: la privacy dipende sempre piu da dove si trovano i server, da quali leggi li governano e dall'esistenza di un singolo punto di controllo, non solo dall'algoritmo di crittografia utilizzato.
